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Description 

[0001] La presente Invention a pour objet un procede 
de gestion de donnees memorisees dans une memoire 
d'une carte a puce. L'invention concerne le transfert des 5 
Informations d'une carte a une autre, notamment dans 
le cas ou la carte de depart est sur le point d'etre peri- 
mee et necessite d'etre remplacee par une carte a duree 
prorogee et possedant par ailleurs des memes facultes 
de systeme, des memes informations enregistrees dans 10 
le circuit electronique. 

[0002] On connaTt ainsi par exemple dans le domaine 
des cartes a puces, ou plus generalement des objets 
portables a puce electronique, les porte-monnaie elec- 
tron iques, Dans de telles utilisations, des unites mone- is 
taires stockees dans la memoire d'une carte a puce sont 
transferees dans une autre et sont retirees de la pre- 
miere. II n*y a pas, a priori, de limite de validite. On con- 
naTt par ailleurs dans le domaine bancaire des cartes a 
puce dont le corps de carte comporte un embossage 20 
indiquant en clair la date limite de validite de la carte. 
Cette precaution de limite de validite a deux interets. 
D'une part, elle permet de tenir compte du vieillissement 
des circuits electro niques et d'en favoriser le remplace- 
ment. D'autre part, elle provoque le retour a I'autorite de 25 
tutelle des cartes mises en circulation defacon ace que 
cette autorite puisse globalement controler les moyens 
de transactions qu'elle met a disposition. 
[0003] Avec le developpement exponentiel des appli- 
cations controlees par des utilisations de carte a puce, 30 
le remplacement des cartes a puce perimees ne pourra 
plus necessairement etre effectue par une autorite de 
tutelle: il devra pouvoir etre effectue sur site, au besoin 
avec des lecteurs enregistreurs de cartes a puce com- 
muns. 35 
[0004] Les principes d'utilisation des cartes a puce 
component la necessite de composer un code secret, 
ou code personnel d'identification (PIN), et la compari- 
son de ce code a un code memorise dans la memoire 
de la puce. En cas de succes de la comparaison, Tap- 40 
plication, c'est-a-dire en pratique la delivrance d'un bien 
ou d'un service correspondant a la transaction, ou me- 
me un palement, peut etre effectuee avec la carte. Dans 
le cas contraire, le porteur est renvoye a une situation 
de rejet. Cette comparaison est mise en oeuvre d'une 45 
maniere securisee. 

[0005] Le probleme qui se pose lorsqu'on veut trans- 
ferer des informations d'une carte dans une autre est un 
probleme de gestion de ces codes secrets ou, plus ge- 
neralement, des codes de gestion qui permettent la ges- so 
tion sous controle des donnees memorisees dans la 
memoire des cartes. En effet, ces codes, memorises 
sous une forme ou sous une autre dans la memoire de 
la puce de la carte, sont produits par I'autorite de tutelle 
en fonction de donnees propres a une identification de ss 
la carte et propres a cette autorite. De ce fait, ii devient 
impossible d'organiser une prorogation automatique de 
la validite des cartes par remplacement des cartes pe- 
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rimees par des cartes a durees plus longues sans I'in- 
tervention de cette autorite. En effet, une telle demarche 
reviendrait a mettre a la disposition de tous les organis- 
mes, ou meme de tous les lecteurs aptes a assurer cette 
prorogation, tous les secrets concernant I'elaboration 
des codes secrets et propres a cette autorite. 
[0006] L'invention a neanmoins pour objet de reme- 
dier a ce probleme f utur en instituant un protocole d'en- 
registrement des codes de gestion. Le protocole tient 
compte des anciens codes de gestion, ou au minimum 
d'informations relatives aux anciennes cartes dont pro- 
viennent les donnees qu'on va enregistrer dans la nou- 
velle. 

[0007] Selon l'invention, on utilise un algorithme de 
cryptage, pour produire un nouveau code de gestion, 
qui prend en compte, d'une part, une information d'iden- 
tification de la nouvelle carte et, d'autre part, une infor- 
mation relative a I'ancienne carte. Dans un cas particu- 
lier les informations relatives a I'ancienne carte seront 
les informations d'identification de I'ancienne carte. 
Dans un autre cas, ce sera le code de gestion de I'an- 
cienne carte lui-meme qui sera utilise. Toute autre infor- 
mation relative a I'ancienne carte est utilisable. 
[0008] Au moment de ('utilisation, on peut alors de- 
mander a Putilisateur de composer un code secret qui 
correspond au code de gestion de la deuxieme carte. 
Dans certains cas de verification particuliere, on pourra 
lui demander de composer en plus, en une deuxieme 
etape ou une premiere etape, un code secret corres- 
pondant au code de gestion de la premiere carte afin de 
verifier la coherence de I'elaboration du deuxieme code 
de gestion. 

[0009] L'invention a done pour objet un procede de 
gestion de donnees memorisees dans une premiere 
memoire d'une premiere puce d'une premiere carte a 
puce dans lequel 

on produit un premier code de gestion, avec un pre- 
mier algorithme de cryptage, a partir d'une cle mere 
et d'une premiere information d'identification de la 
premiere carte a puce, 

on enregistre ce premier code de gestion dans la 
premiere memoire, 

on met la premiere carte en relation avec un lecteur 
de carte a puce, 

- on autorise une edition de donnees memorisees 
dans la premiere memoire si un code presente dans 
le lecteur est compatible avec le premier code de 
gestion enregistre, 

caracterise en ce que 

- on produit un deuxieme code de gestion, avec un 
deuxieme algorithme de cryptage, a partir d'une in- 
formation relative a la premiere carte et d'une 
deuxieme Information d'identification d'une deuxie- 
me carte a puce, 

on enregistre cette information relative a la premie- 
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re carte et ce deuxieme code de gestion dans une 
deuxieme memoire d'une deuxieme puce de la 
deuxieme carte a puce 

on autorise Pedition de donnees memorisees dans 
la deuxieme memoire si un code secret presente 
par le lecteur est compatible avec le deuxieme code 
de gestion enregistre. 

[0010] L'invention sera mieux comprise a la lecture de 
la description qui suit et a I'examen des figures qui I'ac- 
compagnent. Celles-ci ne sont donnees qu'a titre indi- 
catif et nullement limitatif de I'invention. Les figures 
montrent: 

Figure 1 : Une representation schematique d'un dis- 
positif utilisable pour mettre en oeuvre le procede 
de Pinvention; 

Figure 2: Les etapes essentielles de la mise en 
oeuvre du procede de Pinvention; 
Figure 3; Le mode prefere de verification de la le- 
gal ite de la detention d'une carle a puce par un por- 
teur; 

Figure 4: La representation schematique d'un algo- 
rithme de type symetrique permettant de retrouver 
un code de gestion a partir d'un precedent code de 
gestion. 

[0011] La figure 1 montre un dispositif utilisable pour 
mettre en oeuvre le procede de gestion de donnees de 
Pinvention. Cette figure montre un lecteur 1 pour lire un 
objet 2 portable a puce, ou une carte a puce, introduit 
dans une fente 3 du lecteur. Ce lecteur comporte d'une 
maniere conventionnelle un ecran 4 pour visualiser des 
messages edites par le lecteur et un clavier 5 pour per- 
mettre a un operateur, le porteur de la carte, d'organiser 
une transaction entre le lecteur 1 et la carte a puce 2. 
Dans un exemple, le lecteur peut etre relie par divers 
moyens a un system e maftre 6, so it en temps reel, so it 
en temps differe. Dans un exemple, ces moyens peu- 
vent comporter une liaison hertzienne par I'intermediai- 
re de deux antennes 7 et 8, et leu r systeme d'emission 
reception associe, relies au lecteuret au systeme maitre 
respectivement. 

[0012] L'invention concerne plus particulierement le 
transfert d' informations contenues dans une carte a pu- 
ce 9 perimee (sa date de peremption etant par exemple 
1 996, deja passee) et une carte a puce nouvelle 2 avec 
une date de validite bien superieure (2007). La carte 9 
ainsi que la carte 2 component chacune une puce elec- 
tronique telle que referencee 1 0 et des moyens de mise 
en relation avec le lecteur 1. Dans un exemple, ces 
moyens de mise en relation sont tout simplement un 
connecteur 11. D'autres solutions de mise en relation 
sont connues. 

[0013] Sur la figure 2, on a montre d'une maniere plus 
detaillee les etapes du procede de Pinvention. On y a 
egalement represents les cartes a puce 9 ancienne et 
2 nouvelle. La carte a puce est munie, enregistree dans 



une memoire de la puce, d'une information 12 represen- 
tative d'un numero de serie de la carte ou de la puce. 
Dans une application bancaire, ce numero de serie peut 
egalement etre ou correspondre a un numero de comp- 

5 te en banque. 

[0014] Le principe de Pelaboration d'un code de ges- 
tion consiste a utiliser une cle mere 100. Une cle mere 
est ainsi une chaTne de caracteres binaires: dans un 
exemple, une cle mere a une longueur de 1024 bits. Le 

10 numero de serie de la carte ou de la puce peut egale- 
ment etre presente sous une forme binaire. Les deux 
chatnes de caracteres binaires correspondantes sont 
alors presentees a un algorithme de cryptage represen- 
ts symboliquement par la reference 13. L'algorithme 1 3 

is de cryptage a pour resultat la production d'un premier 
code de gestion. Dans un exemple, l'algorithme 13 de 
cryptage est mis en oeuvre par le systeme maitre, dis- 
ponible chez un emetteur de la carte, avant que cet 
emetteur ne decide d'envoyer la carte a puce a son uti- 

20 lisateur. Au cours d'une operation dite de personnalisa- 
tion, Pemetteur, avec un lecteur de carte a puce special, 
lit le numero de serie de la carte et produit, avec un al- 
gorithme 13 et une cie mere 100 connue de Pemetteur 
seul, un premier code 1 4 de gestion. Le systeme mattre 

25 enregistre -le premier code 14 de gestion dans la me- 
moire de la puce de la carte. D'une maniere connue, cet 
enregistrement peut etre effectue a un emplacement de 
la puce de la carte 9. Cet emplacement peut aussi de- 
pendre pour sa localisation de Papplication, premiere 

30 application 27, gerable avec la carte. De preference, les 
codes de gestion sont done secrets et memorises dans 
des emplacements inviolables. 
[0015] La figure 3 montre, un mode d'utilisation pre- 
fere d'une carte a puce ou d'un objet portable a puce 

35 muni pour une application d'un tel code de gestion 14. 
Au moment ou un operateur, un utilisateur, glissesa car- 
te a puce dans le lecteur 1 , celui-ci produit, un alea 15, 
un chaTne aleatoire de bits. Cet alea 15 est envoye, no- 
tamment par Pintermediaire du connecteur 1 1 , a la puce 

^0 de la carte 9. Celle-ci met alors en oeuvre un cryptage 
de I'alea 1 5 par le code de gestion 1 4 et produit un code 
16 de gestion crypte par I'alea. Dans le meme temps, 
Poperateur compose sur le clavier 5 un code secret. Ce 
code secret est envoye au lecteur 1 . Le lecteur 1 effec- 
ts tue, de la meme facon que la carte 9, le cryptage 1 7 du 
code secret par la valeur de I'alea 1 5 que ce lecteur con- 
na?t. Un circuit de comparaison 18 du lecteur, a moins 
que cela ne soit un circuit de comparaison 1 9 de la carte, 
effectue la comparaison du code 16 de gestion crypte 

so par I'alea au code secret 1 7 crypte par I'alea. S'il y a 
identite le resultat du circuit de comparaison 18 ou 19 
sera positif et la suite de la transaction envisagee avec 
la carte 9 pourra se poursuivre. 
[0016] Notamment, cette suite de transactions com- 

55 portera Pedition de donnees memorisees dans la pre- 
miere memoire de la premiere carte 9 si le code secret 
presente au lecteur est compatible avec le premier code 
14 de gestion enregistre. 
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[0017] En effet, le lecteur produira souvent, d'une 
part, un ticket 20 representatif de la transaction ou, 
d'autre part, d'une maniere non visible, un enregistre- 
ment dans sa memoire representatif de cette transac- 
tion. Cet enregistrement est lui-meme destine a etre 
transmis au systeme maltre en mode differe ou en 
temps r6el. Le ticket 20 ainsi que I'enregistrement com- 
porteront des indications de la transaction, notamment 
au moins une partie d'identification de la carte a puce 
2, parexemple ie numero de serie 12 envisage jusqu'ici, 
ou un numero de compte ou toute autre information en- 
registree dans la carte 9. Le seul fait que ces informa- 
tions apparaissent sur le ticket 20, ou sur I'enregistre- 
ment du lecteur 1 , signifie qu'elles ont par ailleurs ete 
editees. Dans la pratique, on cherche en fait avec la 
comparaison a bloquer ou a permettre une telle edition 
et done la suite de la transaction. 
[0018] Dans I'invention, on aconsider6 qu'on avait af- 
faire a une carte 9 et qu'on voulait passer le contenu de 
la puce 1 0 decette carte 9 dans une puce d'une nouvelle 
carte 2. Selon I'invention, on produit avec un algorithme 
21 , a partir d'une information relative a la carte 9 et d'une 
information d'identification de la deuxieme carte 2 un 
deuxieme code de gestion 22. 
[0019] Dans un exemple particulier, I'information re- 
lative a la premiere carte est justement le numero de 
serie 12 et I'information relative a la deuxieme carte 9 
est egalement un numero de serie 23 de cette deuxieme 
carte. Neanmoins, on aurait pu utilisercomme informa- 
tion relative a la premiere carte le premier code de ges- 
tion 14, ou toute autre information. 
[0020] Dans I'invention, la mise en oeuvre de I'algo- 
rithme 21 est effectuee par un lecteur 1 de type com- 
mun, mais muni d'un logiciel pour, au cours d'une ces- 
sion de production du code 22, provoquer la lecture 
dans la carte 9 des informations utiles, demander I'ex- 
traction de la carte 9 et la mise en place de la carte 2 
en remplacement, lire les donnees d'identification utiles 
dans la carte 2, calculer le code 22 et I'enregistrer dans 
la carte 2. Pour simplif ier cette production des codes de 
gestion, le logiciel de mise en oeuvre de ralgorithme 
peut etre, au moins en partie, memorise dans la carte 9 
(ou et dans la carte 2). La mise en oeuvre peut mdme 
etre effectuee par le micro-processeur de la carte pour 
plus de s ecu rite. 

[0021] Pour simplif ier 1'explication on a considers que 
I'algorithme 21 necessitait la reception de trois chaTnes 
de caracteres. Ralgorithme 13 recevra de preference le 
premier num6ro de serie 12, une deuxieme fois le pre- 
mier numero de serie 1 2 ainsi que la cle mere 1 00. Dans 
un exemple, I'algorithme 21 est le meme que I'algorith- 
me 13. Pour Talgorithme 21 les trois informations utiles 
peuvent etre le numero de s§rle 23, le numero de serie 
12 et la cle mere 100. Cette cle 100 peut meme etre 
remplacee par le code 14. On produit done bien selon 
I'invention un deuxieme code de gestion 22 avec le 
deuxieme algorithme de cryptage 21 . Le deuxieme code 
de gestion 22 ainsi produit est alors enregistre dans la 



deuxieme carte 2 en meme temps que I'information re- 
lative a la premiere carte (12 ou 14) qui a servi a I 1 ela- 
boration de ce deuxieme code de gestion. Dans I'exem- 
ple, le numero de serie 12 de la premiere carte 9 est 
s egalement en registry dans ia deuxieme carte 2. 

[0022] La figure 2 montre encore que le mecanisme 
peut se prolonger a partir du moment ou on utilisera une 
troisieme carte a puce 24 munie d'un troisieme nume>o 
de serie 25. On pourra alors, avec cette troisieme carte 
10 24, produire un troisieme code de gestion 26 dans les 
memes conditions avec un algorithme 27 semblable a 
I'algorithme 21 . Dans ce cas, on stockera dans la me- 
moire de la troisieme carte 24 les informations relatives 
a la deuxieme carte 2: le numero de serie 23. Cepen- 
'5 dant, on peut vouloir egalement stocker dans la troisie- 
me carte 24 I'information relative a la premiere carte 9, 
e'est-a-dire le numero de serie 12. 
[0023] On a represents pour la carte 9 une premiere 
application 27. Cette application est une premiere facon 
d'utiliser la carte 9. Cette carte 9 peut etre, de preferen- 
ce selon I'invention, une carte multi-applications. Dans 
ce cas, le code de gestion 14 est un code de gestion 
destine a une application. Pour des autres applications 
28 ou 29, on retrouvera les memes elements. Cepen- 
dant, autant on peut utiliser un meme numdro de serie 
1 2 (commun a toute la carte ou a toute la puce), autant 
les autres codes de gestion auront interet a etre diffe- 
rents. Ceci peut etre facilement obtenu en utilisant des 
algorithmes 1 3 parametres par des cles meres 1 00 dif- 
ferentes, dSpendantes des applications concerned. La 
cle mere 1 00 peut par ailleurs etre stockee dans la carte 
9 a I'endroit de la zone memoire devolue a I'application 
27, 28 ou 29. L'algorithme 13 est alors parametre par 
une cle 100 qui depend de i'application. 
[0024] Au moment de la reconnaissance de ce que le 
porteur de la carte 2 est un bon porteur, le lecteur 1 et 
la carte a puce 2 echangent des informations conform6- 
ment a la figure 2. Dans ce cas cependant, le code de 
gestion concerne est maintenant sera le code -22 relatif 
a la deuxieme carte et non plus le code 14 relatif a la 
premiere. L'operateur doit done composer un code se- 
cret correspondant au code 22. 
[0025] II est possible selon I'invention de verifier que 
la deuxieme carte 2 est une heritiere legitime du contenu 
de la premiere carte 9. Cette verification peut etre en- 
treprise a la demande, en faisant ex6cuter par le lecteur 
1 , ou alternativement par la carte a puce 2, des opera- 
tions de cryptage correspondant, d'une part, a ralgorith- 
me 13 et, d'autre part, aux algorithmes 16 et 17. L'ope- 
rateur doit done composer un code secret correspon- 
dant au code 22. Autrement dit, a partir du premier nu- 
mero de serie 14 disponible dans la deuxieme carte 2, 
II est possible, conformement aux indications donnees 
pour ie haut de la figure 2, de retrouver le premier code 
de gestion 14. Puis, nanti dece code de gestion 14, la 
carte 2 peut mettre en oeuvre ralgorithme 1 6 a partir de 
I'alea. Dans ce cas, on peut demander au porteur de 
composer, non pas le nouveau code secret, mais I'an- 
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cien code secret. Dans un exemple la demande de rea- 
lisation de cette verification plus complexe pourra etre 
aleatolrement demandee, par exemple une fois surcent 
en moyenne. Evidemment, en cas d'echec de la verifi- 
cation les memes consequences sur le deroulement de 
la suite de la transaction seront entratnees. 
[0026] L'algorithme21 sera de preference different de 
I'algorithme 13, encore qu'il pourrait etre le meme. S'il 
est different, I'algorithme 21 sera de preference un al- 
gorithme dit symetrique. Un algorithme symetrique 31 
est montre sur la figure 4. La particularity d'un algorith- 
me symetrique est d'utiliser des cles publiques CPu ap- 
pariees a des cles privees CPr. Le caractere symetrique 
de I'algorithme 31 resulte ensuite dans le fait que des 
donnees 30 chlffrees dans I'algorithme 31 symetrique 
par la cle mere 32 produisent des donnees cryptees 33. 
Si ces donnees 33 sont elles-memes cryptees par le 
meme algorithme 31 pararnetre, ensuite par la cle fille 
34, alors la deuxieme mise en oeuvre de I'algorithme 31 
produit les donnees 30 de depart. Dans un exemple, 
pour une meme cle publique mere CPu on peut avoir 
beaucoup de cles privees filles CPr differentes. La di- 
versification des cles fait intervenir le numero de serie 
des cartes, de sorte que chaque carte possede une cle, 
un code de gestion 14 different. On volt que, si I'algo- 
rithme 13 ou Palgorithme21 sont des algorithmes syme- 
triques, et si on remplace les donnees 30 par le numero 
de serie 12, alors on obtlent atitre de donnees cryptees 
la cle fille 34 elle-meme. 

[0027] Selon I'invention, on associe en plus aux don- 
nees memorisees dans la memoire de la carte 9 un at- 
tribut de transmission. Et on autorise I'edition de ces 
donnees, notamment en vue de leur copie dans la 
deuxieme m6moire, en fonction de la valeur de cet at- 
tribut. Lorsque c'est le cas, on copie ces donnees dans 
la deuxieme carte a puce 2 en meme temps q ue cet at- 
tribut. En pratique, cet attribut renseigne sur une neces- 
sity de produire un deuxieme code de gestion ou non 
au moment de la copie. Dans certains cas, le mecanis- 
memisen oeuvre par les algorithme 1 3 et 21 sera rendu 
necessaire, dans d'autres cas il nesera pas execute. 
[0028] Dans un autre cas, I'attribut de transmission 
renseigne sur la necessity du contr6le de la copie par 
le system e maTtre. Dans ce cas, au moment ou on edite 
les donnees a copier, on lit I'attribut qui les concerne. Si 
1'intervention du systeme maTtre est requise une con- 
nexion au systeme maTtre 6 est entreprise. Cette copie 
peut avoir lieu ensuite en temps reel ou en temps differe 
avec ou non transmission des donnees au systeme maT- 
tre. 



Revendications 

1 . Precede de gestion de donnees memorisees dans 
une premiere memoire d'une premiere puce (10) 
d'une premiere carte (9) a puce dans lequel 



onproduit(13)unpremiercode(14) de gestion, 
avec un premier (13) algorithme de cryptage, a 
partlr d'un cle mere (100) et d'une premiere 
information (12) d'identification de la premiere 
s carte a puce, 

- on enregistre ce premier code de gestion dans 
la premiere memoire, 

on met la premiere carte en relation avec un 
lecteur (1) de carte a puce, 
10 - on autorise une edition (20) de donnees memo- 
risees dans la premiere memoire si un code se- 
cret presente dans le lecteur est compatible 
(18,19) avec le premier code de gestion enre- 
gistre, 

15 

caracterise en ce que 

- on produit (21 ) un deuxieme code (22) de ges- 
tion, avec un deuxieme algorithme (21 ) de cryp- 

20 tage, a partir d'une information (12) relative a 

la premiere carte et d'une deuxieme (23) infor- 
mation d'identification d'une deuxieme carte a 
puce, 

on enregistre cette information (12) relative a 
25 la premiere carte et ce deuxieme code (22) de 

gestion dans une deuxieme memoire d'une 
deuxieme puce de la deuxieme carte (2) a puce 

- on autorise I'edition de donnees memorisees 
dans la deuxieme memoire si un code secret 

30 presente dans I e lecteur est compatible avec le 

deuxieme code de gestion enregistre. 

2. Procede selon la revendication 1, caracterise en 
ceque 

35 

les premiers et deuxiemes codes de gestion 
sont des codes secrets. 

3. Procede selon Tune des revendications 1 ou 2, 
40 caracterise en ce que 

le deuxieme algorithme est mis en oeuvre dans 
la puce de la carte. 

45 4. Procede selon I'une des revendications 1 a 3, 
caracterise en ce que 

- le premier algorithme de cryptage est different 
du deuxieme algorithme de cryptage, et en ce 

so que 

le deuxieme algorithme de cryptage est syme- 
trique (31). 



5. Procede selon Tune des revendications 1 a 3, 
caracterise en ce que 

le p remier algorithme de cryptage est le meme 
que le deuxieme algorithme de cryptage. 



20 



25 



45 4. 
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6. Procede selon Tune des revendications 1 a 5, 
caracterise en ce que 

I'information relative a la premiere carte est la 
premiere information d' identification de la pre- 
miere carte ou de la premiere puce. 

7. Procede selon Tune des revendications 1 a 6, 
caracterise en ce que 

I'information relative a la premiere carte est le 
premier code de gestion de la premiere carte 
ou de la premiere puce. 

8. Proced6 selon Tune des revendications 1 a' 7, 
caracterise en ce que 

on produit, par exemple, dans le lecteur (1 ) un 
mot code de gestion sur la base de I'information 
relative a la premiere carte et 
on verifie que la carte est authentique si ce 
deuxieme mot code de gestion est compatible 
avec un mot secret. 

9. Procede selon Tune des revendications 1 a 8, 
caracterise en ce que 

on associe aux donnees memorisees dans la 
premiere memoire un attribut de transmission, 
on autorise I'edition de ces donnees, en vue de 
leur copie dans la deuxieme memoire, en fonc- 
tion de la valeur de cet attribut, 
on copie ces donnees et cet attribut dans la 
deuxieme memoire, 

cet attribut renseigne sur une necessite de pro- 
duire un deuxieme code secret au moment de 
la copie. 

10. Procede selon la revendication 9, caracterise en 
ce que, pour n'autoriser l'6dition des donn6es con- 
tenues dans la premiere memoire que sous le con- 
trole d'un systeme maftre, 

on associe un attribut de transmission qui ren- 
seigne sur une necessite de ce controle par un 
systeme maTtre, 

on lit cet attribut prealablement a I'edition, 
et on lance un programme d'edition si -I'attribut 
lu le permet. 

11. Procede selon I'une des revendications 9 a 10, 
caracterise en ce que 

I'attribut de transmission interdit I'edition en vue 
de la copie des donnees concernees. 

12. Procede selon I'une des revendications 9 a 11, 
caracterise en ce que 



- on copie en differe les informations dans la 
deuxieme memoire. 

13. Procede selon I'une des revendications 1 a 12, ca- 
5 racterise en ce que 

la carte est une carte multi-applications 
(27-29), les donnees etant associees a des co- 
des de gestion respectifs. 



PatentansprQche 

1. Verwaltungsverfahren von in einem ersten Spei- 
cher eines ersten Chips (1 0) einer ersten Chipkarte 
(9) gespeicherten Daten, bei dem 



man einen ersten Verwaltungscode (14) er- 

zeugt (13), mit einem ersten Verschlusselungs- 
20 algorithmus (13), ab einem Mutterschlussel 

(100) und einer ersten Identifizierungsinforma- 

tion (12) der ersten Chipkarte, 

man diesen ersten Verwaltungscode im ersten 

Speicher aufzeichnet, 
25 - man die erste Karte mit einem . Chipkartenlese- 

gerat (1) in Verbindung setzt, 
- man eine Edition (20) von im ersten Speicher 

gespeicherten Daten genehmigt, wenn ein in 

das Lesegerat eingegebener Code mit dem er- 
30 sten aufgezeichneten Verwaltungscode kom- 

patibel (8, 19) ist, 

dadurch gekennzeichnet, dass 

35 . man einen zweiten Verwaltungscode (22) er- 
zeugt (21), mit einem zweiten Verschlusse- 
lungsalgorithmus (21), ab einer Information 
(12) bezuglich der ersten Karte und einer zwei- 
ten Identifizierungsinformation (23) einer zwei- 

40 ten Chipkarte, 

man diese Information (12) bezuglich der er- 
sten Karte und diesen zweiten Verwaltungsco- 
de (22) in einem zweiten Speicher eines zwei- 
ten Chips der zweiten Chipkarte (2) aufzeich- 

45 net, 

man die Edition von im zweiten Speicher ge- 
speicherten Daten genehmigt, wenn ein dem 
Lesegerat angegebener Geheimcode mit dem 
zweiten aufgezeichneten Verwaltungscode 

50 kompatibel ist. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, dass der erste und zweite Verwaltungs- 
code Geheimcodes sind. 

55 

3. Verfahren nach einem der AnsprQche 1 Oder 2, da- 
durch gekennzeichnet, dass der zweite Algorith- 
mus im Chip der Karte umgesetzt wird. 
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4. Verfahren nach einem der Anspriiche 1 bis 3, da- 
durch gekennzeichn t, dass sich der erste Ver- 
schlusselungs-algorithmusvom zweiten Verechliis- 
selungs algorithm us unterscheidet, und dass der 
zweite Verschlusselungsalgorithmus symmetrisch 
(31) 1st. 

5. Verfahren nach einem der Anspriiche 1 bis 3, da- 
durch gekennzelchnet, dass der erste Verschlus- 
selungsalgorithmus gleichzeitig der zweite Ver- 
schlusselungsalgorithmus ist. 

6. Verfahren nach einem der Anspriiche 1 bis 5, da- 
durch gekennzelchnet, dass die Information be- 
ziiglich der ersten Karte die erste Identifizierungs- 
information der ersten Karte oder des ersten Chips 
ist. 

7. Verfahren nach einem der Anspriiche 1 bis 6, da- 
durch gekennzelchnet, dass die Information be- 
ziiglich der ersten Karte der erste Verwaltungscode 
der ersten Karte oder des ersten Chips ist. 

8. Verfahren nach einem der Anspriiche 1 bis 7, da- 
durch gekennzelchnet, dass man beispielsweise 
im Lesegerat (1) ein Verwaltungscodewort auf der 
Basis der Information bezuglich der ersten Karte er- 
zeugt, und dass man pruft, ob die Karte authentisch 
ist, wenn dieses zweite Verwaltungscodewort mit 
einem Geheimwort kompatibel ist. 

9. Verfahren nach einem der Anspriiche 1 bis 8, da- 
durch gekennzelchnet, dass man den im ersten 
Speicher gespeicherten Daten ein Ubertragungs- 
attributzuordnet, dass man die Edition dieser Daten 
genehmigt, urn entsprechend dem Wert dieses At- 
tributs in den zweiten Speicher kopiert zu werden, 
dass man diese Daten und dieses Attribut in den 
zweiten Speicher kopiert, wobei dieses Attribut 
uber eine Notwendigkeit Auskunft gibt r zum Zeit- 
punkt des Kopieren einen zweiten Geheimcode zu 
erzeugen. 

10. Verfahren nach Anspruch 9, dadurch gekenn- 
zelchnet, dass man, um die Edition der im zweiten 
Speicher enthaltenen Daten nur unter der Kontrolle 
eines Master-Systems zu genehmigen, ein Ubertra- 
gungsattribut zuordnet, das uber eine Notwendig- 
keit dieser Kontrolle durch ein Master-System Aus- 
kunft gibt, dass man dieses Attribut vor der Edition 
liest, und dass man ein Editionsprogramm startet, 
wenn das gelesene Attribut dies gestattet, 

11. Verfahren nach einem der Anspriiche 9 bis 10, da- 
durch gekennzelchnet, dass das Ubertragungs- 
attribut die Edition zum Kopieren der betroffenen 
Daten untersagt. 



12. Verfahren nach einem der Anspriiche 9 bis 11 , da- 
durch gekennzelchnet, dass man die Informatio- 
nen verzogert in den zweiten Speicher kopiert. 

5 13. Verfahren nach einem der Anspriiche 1 bis 12, da- 
durch gekennzelchnet, dass die Karte eine Mul- 
tiapplikationskarte (27-29) ist, wobei die Daten je- 
weiligen Verwaltungscodes zugeordnet sind. 

10 

Claims 

1 . A method of managing data stored in a first memory 
of a first chip (10) in a first smart card (9) in which 

15 

a first management code (14) is produced (13), 
with a first enciphering algorithm (13), from a 
parent key (1 00) and a first item of identification 
information (12) for the first smart card, 
20 - this first management code is recorded in the 
first memory, 
- the first card is connected up with a smart card 
reader (1), 

an editing (20) of data stored in the first memory 
25 is enabled if a code presented in the reader is 

compatible (18,19) with the first recorded man- 
agement code, 

characterised in that 

30 

a second management code (22) is produced 
(21), with a second encoding algorithm (21), 
from an item of information (12) relating to the 
first card and a second item of identification in- 
35 formation (23) for a second smart card, 

this information (12) relating to the first card and 
this second management code (22) are record- 
ed in a second memory of a second chip in the 
second smart card (2), 
^0 - the editing of data stored in the second memory 
is enabled if a secret code presented by the 
reader is compatible with the second recorded 
management code. 

45 2. A method according to Claim 1 , characterised in 
that 

the first and second management codes are se- 
cret codes. 

50 

3. A method according to one of Claims 1 or 2, char- 
acterised in that 

the second algorithm is implemented in the 
55 card chip. 

4. A method according to one of Claims 1 to 3, char- 
acterised In that 
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the first enciphering algorithm is different from 
the second enciphering algorithm, and in that 
the second enciphering algorithm is symmetri- 
cal (31). 

5. A method according to one of Claims 1 to 3, char- 
acterised in that 

the first enciphering algorithm is the same as 
the second enciphering algorithm. 

6. A method according to one of Claims 1 to 5, char- 
acterised in that 

the information relating to the first card is the 
first identification information for the first card 
or the first chip. 

7. A method according to one of Claims 1 to 6, char- 
acterised in that 

the information relating to the first card is the 
first management code for the first card or for 
the first chip. 

8. A method according to one of Claims 1 to 7, char- 
acterised in that 



and an editing program is initiated if the at- 
tribute read so permits. 

1 1 . A method according to one of Claims 9 to 1 0, char- 
s acterised in that 

the transmission attribute inhibits the editing 
with a view to the copying of the data con- 
cerned. 

10 

1 2. A method according to one of Claims 9 to 11 , char- 
acterised in that 

the information is copied in non real time into 
is the second memory. 

13. A method according to one of Claims 1 to 12, char- 
acterised in that 

20 - the card is a rnulti-application card (27-29), the 
data being associated with respective manage- 
ment codes. 



25 



a management code word is produced, for ex- 
ample, in the reader (1) on the basis of the in- 30 
formation relating to the first card, and 
it is checked that the card is authentic if this sec- 
ond management code word is compatible with 
a secret word. 

35 

9. A method according to one of Claims 1 to 8, char- 
acterised in that 



a transmission attribute is associated with the 
data stored in the first memory, 40 
the editing of these data is enabled, with a view 
to their copying into the second memory, ac- 
cording to the value of this attribute, 
these data and this attribute are copied into the 
second memory, 45 
this attribute gives information about a need to 
produce a second secret code at the time of 
copying. 



10. A method according to Claim 9, characterised in so 
that, to allow the editing of the data contained in the 
first memory only under the control of a master sys- 
tem, 



a transmission attribute is associated which ss 
gives information on a need for this check by a 
master system, 

this attribute is read prior to the editing, 
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